为了好玩,我跟踪了/var/log/auth.log(tail auth.log),发现了很多以下内容:
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
该 IP 似乎来自中国……
我添加了 iptables 规则来阻止该 IP,现在它已经不存在了。
现在看到以下内容:
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
这两个条目是什么?我能做些什么来保护或动态查看威胁?
我确实已经fail2ban安装了。
提前致谢
答案1
您是否需要从多个位置访问此主机?或者您可以使用具有静态 IP 的跳转箱?如果是这种情况,您可以设置一个 iptables 规则,仅允许 SSH 访问特定 IP。这将使您可以隐式拒绝除静态 IP 之外的任何人。
其他建议是更改服务以监听非标准端口、禁用根身份验证并配置 fail2ban。
答案2
尝试将 sshd 端口改为 1000+。Fail2ban 也有帮助。
例如,我有一些服务器在 1919 或 905 上运行 sshd,但我几乎无法让这些中国 IP 尝试暴力破解我的服务器。